Notify user in Slack of quarantined email and create Jira ticket if opened
该工作流旨在自动响应安全告警,针对被隔离的可疑邮件,及时在Slack中通知相关收件人,并在邮件已被打开的情况下,自动创建Jira工单以跟踪安全事件。通过实时告警与协同响应,提升了安全运维效率,减少人工监控与操作,提高处理准确性,有效管理潜在风险,确保信息安全与业务连续性。
流程图
工作流名称
Notify_user_in_Slack_of_quarantined_email_and_create_Jira_ticket_if_opened
主要功能和亮点
该工作流自动响应Sublime Security的安全告警,针对被自动隔离的可疑邮件,智能通知收件人在Slack中,并在邮件已被打开的情况下,自动创建Jira工单进行后续安全事件跟踪和处理。实现了邮件安全事件的实时告警与协同响应,提升安全运维效率。
解决的核心问题
- 及时通知邮件收件人邮件被隔离的情况,避免因邮件被误判而导致业务中断。
- 自动识别邮件是否已被打开,针对可能的安全威胁自动创建Jira工单,确保安全事件得到快速响应与处理。
- 减少人工监控和手动操作,提高安全告警处理的自动化和准确性。
应用场景
- 企业安全运维团队需要实时监控和响应邮件安全威胁。
- IT部门需要快速通知用户邮件隔离情况并管理潜在风险。
- 需要将安全告警与项目管理工具集成,实现安全事件追踪和协作处理。
主要流程步骤
- 接收Sublime Security的Webhook告警:当邮件被扫描并触发隔离规则时,自动触发该工作流。
- 调用API获取邮件详细信息:通过Sublime Security API查询邮件内容和安全规则详情。
- 检查邮件是否已被打开:判断收件人是否在隔离前打开了邮件。
- 通过收件人邮箱查找其Slack用户ID:准备发送通知。
- 如果找到Slack用户,发送隔离通知消息:告知用户邮件被隔离及后续操作建议。
- 如果邮件已被打开,自动生成Jira工单:工单包含详细的邮件安全信息和规则,方便安全团队跟进。
- 如未找到Slack用户或邮件未被打开,则对应流程不做操作。
涉及的系统或服务
- Sublime Security:邮件安全扫描及隔离服务,提供Webhook和API。
- Slack:即时通讯平台,用于通知邮件收件人。
- Jira Software:项目管理及安全事件追踪工具,用于创建安全事件工单。
- n8n:自动化工作流平台,负责流程编排和各系统间的数据交互。
适用人群或使用价值
- 企业安全运维团队和IT支持部门,可借助该工作流实现邮件安全事件的自动化监控和响应。
- 需要提升邮件安全事件处理效率,减少安全风险暴露的组织。
- 希望通过自动化工具减少人为操作,快速通知用户并高效管理安全事件的企业。
该工作流用自动化连接邮件安全监测、即时通讯与项目管理,帮助企业快速响应潜在威胁,保障信息安全与业务连续性。